当我们觉得有必要重新关注我们的核心能力和优势并将其余部分外包或寻求专家建议时,我们中的许多人都会达到生活和业务的一个阶段。这一战略决策使我们能够在那些我们有能力解决手头问题的地方取得更大的飞跃。
在网络安全方面,我们经常谈论端到端自动化的需求,以支持能够近乎实时地响应新威胁信息的动态和敏捷的安全态势。我们的行业将此转化为能够阻止攻击的发生。我们已经并将继续投入时间和资源来实现这一愿景,因为我们选择将新技术、供应商和合作伙伴添加到我们的网络安全生态系统中。
然而,许多安全领导者往往较少谈论的一个领域是网络安全战略的人为因素,以及我们如何增加它对我们整体成功的影响。如今,三分之二的全球领导者声称 全球技能短缺给他们的组织带来了额外的网络风险,其中 80% 的人报告说在过去 12 个月中至少经历过一次违规行为,他们可以将其归因于网络安全技能差距。
现在是讨论人为因素作为整体网络安全框架的一部分的时候了。
增强、自动化和外包:人为因素
如果我今天问你有多少技术安全功能被用作服务,以及你目前正在评估多少,答案将是——最多。安全供应商已经为您的技术运营、维护和提升关键安全功能,无论是您的 IPS、URL、DNS、沙箱、AV、CASB、物联网等,通过提供安全情报让它们随时应对最新威胁。网络安全专家团队已经在帮助您远离当今的网络犯罪分子。自动化流程也是如此。你们中的许多人都在创建完全自动化的安全态势、SOC 和流程。在许多情况下,您和您的供应商是一起踏上这段旅程的。
但是,当我们谈论您的员工时,却缺乏有组织的流程、战略或优先事项,甚至缺乏技能提升的时间。甚至更少的人正在评估 SOC 团队执行的哪些任务最适合外包。
可以通过三种策略将服务应用于您的安全团队、员工和合作伙伴,以更好地保护您的组织。首先是利用每天都在当今网络战争前线度过的敬业网络安全专业人员的技能和技术来增强他们的能力。接下来是使您团队的许多流程自动化,以提高准确性、平均检测时间 (MTTD) 和平均修复时间 (MTTR)。您将选择外包网络安全的某些方面,以使您的团队专注于手头的关键任务。
提高雇员
今天的许多攻击都是从利用漏洞开始的,无论是技术还是人为失误(例如网络钓鱼)。我们都努力通过添加外部攻击面管理 ( EASM )、网络检测和响应 ( NDR )、 欺骗、端点检测和响应 ( EDR ) 甚至 安全等高级功能,在攻击周期中尽早预防和阻止攻击电子邮件网关和 Web 应用程序防火墙 ( WAF ) 来保护关键资产——所有这些都是为了最大限度地减少损害并避免漫长的补救过程。
在许多情况下,您的员工是您的第一道防线。假设您以评估技术的相同方式评估您的员工,寻找需要定期“修补”的漏洞(知识和技能差距)。然后应该很容易理解对网络安全程序的需求。这种持续改进的过程可以而且应该与精通当前攻击策略的网络安全供应商/团队合作,将这些知识整合到您组织的员工培训计划中。
SOC 团队和网络安全专家
如果您像我们大多数人一样,您的 SOC 团队正在埋头筛选警报、日志和任务。因此,当涉及到不断变化的攻击威胁形势和端到端安全态势的总体状态时,他们发现很难找到时间保持敏锐。
练习将使您的团队更好更快地应对攻击。为它腾出时间。为战术培训分配时间 ,对能力进行全面评估,并利用安全编排、自动化和响应SOAR 等工具构建和测试有效的自动化和行动手册 。积极从事威胁搜寻和事件响应工作的网络安全专家将拥有为您的团队构建和执行培训所需的真实实践经验。此外,评估并利用 支持短期学习曲线目标和投资优化的入职和培训计划。
外包
我们在整个威胁领域所经历的当前强度,无论是速度还是复杂性,都意味着我们都需要更加努力地工作才能保持领先地位。但这只能让我们走到这一步。因此,我们还必须更聪明地工作,这是构建自动化、自学系统并将某些功能外包给专门专家的驱动力。此类增强功能是消除噪音并帮助您的团队专注于最关键任务和推动业务发展的关键方式。外包可以用于多种目的。它可以临时使用,直到您的团队通过了新技术的学习曲线,或者作为您的安全团队的扩展的永久安排。
我们通常在三个领域看到组织外包安全功能:
评估安全有效性
网络安全专业人士有一句格言,即构建安全态势的团队不应该是评估其有效性的团队。利用外部团队来执行这些任务总是会产生更好的结果。这些服务的范围可以从单个时间点评估(如漏洞)或对外部攻击面管理的持续监控,以确定对勒索软件等攻击的端到端准备情况。这些评估还支持对未来投资进行急需的基于风险的优先排序。
外包部分或全部 SOC 威胁搜寻功能
主动监控检测和威胁响应的外包从端点 ( MDR ) 扩展到网络,再到完整的 SOC 职责 ( SOC-as-a-Service )。考虑到当今威胁的速度,最好的预防方法是采用从检测到响应的全自动循环。然而,在大多数情况下,全自动响应的采用将与 SOC 团队对机器学习 (ML) 建议和数据的信任级别相关联,而不是与技术能力相关,这与所有自动化驱动领域一样,将会发展并随着时间、数据和专业知识的发展而扩展。
外包您的部分或全部事件响应能力
在您受到主动攻击之前与事件响应 ( IR ) 团队合作的好处怎么强调都不为过。通过尽早参与,IR 团队可以帮助您改进和加强您的安全态势。他们还将获得有关您现有安全部署以及任何商定的响应和补救流程的关键知识。这将及时帮助减少事故并缩短事故发生后补救所需的时间。
自动化
每个人都会对日益复杂的工作环境做出贡献。营销和工程团队使用多个系统。用户使用大量设备来连接更多的应用程序。今天每个网络安全领导者的目标都应该是在整个组织中建立一个统一的安全框架,该框架优先考虑协同系统和集中流程以提供 ML 驱动的自动化。
但 AI 和 ML 的好坏取决于它们接受训练的数据和教它们的人。在与提供 ML 支持的解决方案的供应商接洽时,您必须审视组织内部并找出谁在设计他们的模型。他们正在使用哪些数据集?确保用于收集、处理、识别和响应事件的流程和自动化是值得信赖的。
文章链接: https://www.mfisp.com/19891.html
文章标题:加强网络安全堆栈中的人为因素
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
